Unflod.dylib – Apple ID-t és jelszót lopó malware, jailbreakelt készülékeken

Ez a cikk legalább 1 éve frissült utoljára. A benne szereplő információk a megjelenés idején pontosak voltak, de mára elavultak lehetnek.

Április 17-én a redditen egy malware-ről számoltak be, ami a jailbreakes felhasználókat érinti, és az Apple ID-kat valamint az azokhoz tartozó jelszavakat továbbítja egy vélhetően kínai szerverre. Azt jelenleg nem lehet tudni, hogy a malware honnan került az érintett készülékekre, de a megoldás szerencsére egyszerű.

adat_biztonsag

Azt sem lehet tudni egyelőre, hogy mi áll az egész mögött, hiszen például az Apple ID-nkhoz beállított bankkártyák adatait az Apple “cenzúrázva” tárolja, így azok csak úgy nem lophatóak el, egy új eszközön való vásárláskor pedig a CCV kód újbóli megadása is szükséges. Viszont mivel az aktivációs zárral lezárt készülékek a lezáráshoz használt Apple ID és jelszó nélkül jelenleg gyakorlatilag nem kelthetőek életre, még akár ez is állhat a dolog hátterében.

Unflod.dylib

A malware az Unflod.dylib fájlként foglal helyet az érintett készülékeken, és egy MobileSubstrate kiegészítő, így az alábbi útvonalon található meg a fájlrendszerben:

/Library/MobileSubstrate/DynamicLibraries/Unflod.dylib

Minden futó folyamat esetén figyeli az SSL kapcsolatot, egészen pontosan az SSLWrite-hoz kapcsolódik a Security.framework esetén, és keresi a bufferben a megfelelő stringeket, amik az Apple ID-t és a jelszót rejthetik. Ha ilyet talál, kiszedi azokból az Apple ID-t és a jelszót, így például egy App Store-os letöltés vagy mondjuk Game Centeres bejelentkezés közben képes azt megszerezni, majd mindezt egyszerű szövegként továbbítja. Jelenleg 2 IP cím az, amire elküldheti ezeket az adatokat a 7878-as porton keresztül: 23.88.10.4 és 23.228.204.55.

A kínai eredetre utal az is, hogy a binárist egy kínai fejlesztő iPhone fejlesztői tanúsítványával írták alá, aminek valójában nincs sok értelme, mert ha úgyis csak jailbreakelt készülékeken fut, akkor az aláírás gyakorlatilag felesleges is (vagy csak ez is egyfajta elterelés):

$ codesign -vvvv -d Unflod.dylib
Executable=./Unflod.dylib
Identifier=com.your.framework
Format=Mach-O thin (armv7)
CodeDirectory v=20100 size=227 flags=0x0(none) hashes=3+5 location=embedded
Hash type=sha1 size=20
CDHash=da792624675e82b3460b426f869fbe718abea3f9
Signature size=4322
Authority=iPhone Developer: WANG XIN (P5KFURM8M8)
Authority=Apple Worldwide Developer Relations Certification Authority
Authority=Apple Root CA
Signed Time=14 Feb 2014 04:32:58
Info.plist=not bound
Sealed Resources=none
Internal requirements count=2 size=484

Természetesen Wang Xin lehet egy nem létező személy, vagy valaki, akinek szintén csak ellopták az adatait, mindenesetre az Apple biztosan utána fog járni ennek is. Ezen felül az aláírás dátuma február 14., így ez a malware egy ideje már terjedhetett anélkül, hogy bárki is felfedezte volna.

Az Unflod.dylib működését részletesen elemzi a SektionEins oldalának cikke.

Mit tehetek?

A legegyszerűbb megoldás, ha ellenőrzöd, hogy létezik-e a fent említett fájl a készülékeden. Ha nincs ilyen fájl, akkor nem érint téged ez a malware. Ha viszont találsz ilyen fájlt, akkor azt rögtön töröld le, és azonnal változtasd meg az Apple ID-d jelszavát a https://appleid.apple.com oldalon!

Ezután még érdemes lehet bekapcsolni a kétlépcsős azonosítást is, ha az már elérhető az Apple ID-d esetén: Kétlépcsős azonosítás: magasabb biztonság az Apple ID-nkhoz

Azok számára pedig, akik nem akarnak manuálisan nyúlkálni a készülékük fájlrendszerében, készítettünk egy cydiás csomagot, ami ellenőrzi, hogy létezik-e az Unflod.dylib fájl, és eltávolítja, ha igen, illetve ebben az esetben szintén figyelmeztet a jelszó módosításának fontosságára. Ha ezt a megoldást választod, akkor keresd a Szifon Source-on az Unflod.dylib malware fix csomagot:

unflod

A cydiás csomag csak a telepítése közben ellenőrzi és törli adott esetben a malware-t, a csomag ezután szükségtelen, így nyugodtan törölhető.

A malware kapcsán előkerült az is, hogy esetleg egy (vagy több), warezt tartalmazó cydiás source állhat az egész hátterében, így mi továbbra sem ajánljuk, hogy bárki is tört kiegészítőket telepítsen a készülékére, mert akár ilyen “mellékhatások” is elképzelhetőek.

Amennyiben újabb részletek is kiderülnek, természetesen frissítjük a cikket.

Ezek még érdekelhetnek:


  1. 2013 vagy 2014? Frissítés: itthon is elérhető
    Május 11-ével a magyar ID-val rendelkező felhasználók számára is elérhetővé vált ez a biztonsági lehetőség. Az esetleg felmerülő kérdésekben pedig az Apple vonatkozó tudásbázis-cikke lehet a segítségünkre, ha elakadnánk, vagy az alábbi cikk alapján nem kapnánk választ mindenre.

  2. Egy megkérdőjelezhetően legálisan feltört telefonon kijelenteni, hogy az ott levő cuccot törvénytelen engedély nélkül felhasználni szerintem több mint vicces 🙂 Cook bácsi személyesen írt nektek levelet, hogy mehet rá a JB? Gondolom nem….

  3. @dnp: a jailbreak nem illegális még az Apple szerint sem, mert még ők is azt mondják, hogy csak adott esetben minősül a garanciális feltételek megszegésének. a DMCA alól kivették a jailbreaket, és legjobb tudomásom szerint azóta sem került vissza alá. a csomagunk meg a saját szellemi termékünk, én kérek elnézést, amiért időt mertem tölteni azzal, hogy az adott esetben fertőzött készülékedről a lehető legegyszerűbben le tudd törölni a malware-t… ha meg nem tetszik ez a kitétel, akkor ne használd a csomagot, csináld meg manuálisan.

    @Hapsika6: a mi csomagunk semmi ilyesmit nem okozhat, mert csak a cikkben említett fájlt törli, amit manuálisan is törölhetsz. ott valami más miatt történt ez.

  4. Engem ugyan nem érint, de szeretnék köszönetet mondani az infóért és azért is, mert csináltatok rá egy appot, amivel el lehet távolítani. Királyak vagytok!

  5. @Perzio: igen, az Apple tudásbázis-dokumentuma azóta sem említi Magyarországot, de úgy emlékszem, anno többen is említették, hogy nekik elérhető lett. persze elképzelhető, hogy csak átmenetileg volt így, nem tudom. én amerikai ID-t használok, ott ez bekapcsolható. ez esetben akkor várni kell, míg a te ID-d esetén is elérhetővé válik.

Írd le a véleményedet! (Moderációs elveinket ide kattintva olvashatod.)

Hozzászólás írásához be kell jelentkezned!